Conseils techniques : attaque credential stuffing

La brève newsletter mensuelle d’Inyova sur les recommandations, l’actualité et les faits intéressants en matière de sécurité.

Il s’agit d’une newsletter interne mensuelle à l’intention de l’équipe Inyova. Nous espérons que tu l’apprécieras autant que nous !

Sujet du jour : prépare-toi à des attaques « credential stuffing ». 

Qu’est-ce que c’est au juste ? 

Le credential stuffing est un type de cyberattaque par force brute réalisé de manière intelligente. Au lieu d’essayer de se connecter sur une plateforme avec des combinaisons aléatoires, le hacker utilise une liste d’adresses e-mail et de mots de passe associés qui ont déjà été dévoilés et publiés. Comme les gens réutilisent leurs mots de passe, il y a de grandes chances de pirater un compte.

Normalement, les mots de passe sont sauvegardés sous forme de texte haché, c’est-à-dire illisible. Cette procédure ralentit en général les hackers. Cependant, lors du piratage de RockYou en 2009, 32 millions de comptes d’utilisateurs ont été sauvegardés en texte clair avec les mots de passe. Ce qui veut dire que si tu avais Facebook ou Myspace en 2009, tu figures probablement sur le fichier piraté.

Pourquoi devrais-je m’inquiéter ?

L’attaque de RockYou en 2009 n’est qu’un exemple parmi d’autres et des milliards d’enregistrements ont été dévoilés depuis, surtout ces dernières années. La base des attaques stuffing est de nos jours très efficace.

Tu peux vérifier si ton adresse e-mail est apparue dans une attaque connue sur ce site.

Que dois-je faire ? 

Pour utiliser une analogie, la seule manière de protéger ton téléviseur contre le vol est de verrouiller la porte de ta maison avec une clé qui n’a pas été dupliquée et distribuée dans ton quartier.

Tu n’utilises pas une seule clé pour toutes tes portes – donc, n’utilise pas un mot de passe unique pour toutes les plateformes.

Ta clé d’appartement n’est pas un simple bâton droit, mais une forme métallique complexe – rends ton mot de passe complexe, en utilisant plus de 8 caractères, des majuscules/minuscules, des caractères spéciaux et des chiffres. 

Si l’on te vole la clé de ton appartement, fais changer les serrures. Si l’on pirate ton adresse e-mail, change ton mot de passe.

Sauvegardé dans le navigateur ?

Tu pourrais, MAIS l’inconvénient de sauvegarder les mots de passe dans le navigateur est que toute personne qui a accès à ton ordinateur physique a accès aux mots de passe de ton navigateur. Heureusement, désormais – du moins pour macOS –, si tu veux voir le mot de passe dans les paramètres, tu dois d’abord saisir le mot de passe de l’OS de ton ordinateur. Cependant, il y a aussi un moyen facile de contourner cela. 

Je te recommande d’utiliser des systèmes de gestion des mots de passe et plug-ins pour les connexions au travail et à la maison.

Tout simplement ! Conserve bien tes données et merci pour ton attention.

Source (en anglais) : https://www.upguard.com/blog/biggest-data-breaches